瞄準「企業員工」的資安公司Riot，怎麼用AI對抗駭客、也對抗AI駭客？

2024年，美國健保公司Change Healthcare被駭客入侵，1.9億名美國人的證件資料流出，其中包含姓名、聯絡資訊、社會安全號碼（似台灣身分證號碼）、出生日期、醫療記錄等個資。

被駭的原因，是因為該健保公司員工的個人帳號和公司後台的帳號，使用了完全相同的密碼，公司後台也沒有多重身份驗證功能，被駭客趁虛而入。

「員工」是許多駭客首要瞄準的對象——他們先從員工下手、再伺機從中找到駭入公司的方式——所以，員工也是資安的第一道防線，「下載安全程式、啟動多重驗證⋯⋯員工其實有很多辦法阻擋駭客。」法國資安新創Riot創辦人暨執行長Benjamin Netter堅信。

Riot選擇從「員工資安」這個特殊的角度切入，以保護企業機密資料。他們這樣不同於其他資安公司的解方獲得創投青睞，在2025年2月完成3,000萬美元（約新台幣9.8億元）B輪募資。

用AI對抗駭客，也對抗AI駭客

Riot在2020年成立時，專注於解決員工面臨的網路釣魚，期望公司能抵擋偽裝成正式信件的詐騙手法。

Riot會向員工展示資料洩露的風險，也會提供具體的例子。舉例來說，Riot不會先給資料洩露的一般定義，而是先告訴員工，他的電子郵件地址可以在5個不同的資料破口中找到，進而教導他們防禦方式。

「服務」與「課程」是難以規模化的，Riot為什麼能獲得創投親睞？

其實Riot的課程並不是傳統的強制性培訓或是政令宣導，而是透過Riot設計的AI聊天機器人「Albert」一對一的教學。這是一個可在Slack、Microsoft Teams或網路介面上運行的互動式安全助手。Albert提供個人化的互動課程，他們會根據員工的知識調整教學內容。

Benjamin Netter解釋，他的設計理念是來自80年代的研究啟發，證明一對一授課幾乎在所有的狀況下，都比傳統大班式課程有效。

Albert也可以在AI釣魚攻擊員工之前，主動辨別並即時遏止攻擊，可以說是用AI對付AI的成功案例。此外，Riot的系統能和企業的IT架構整合，評估員工的網路安全狀況，並檢測潛在的漏洞，例如某些企業缺乏強身份驗證，Albert會即時向員工提供安全建議，從而降低企業受攻擊的可能性。

除了內部防禦外，Riot也注重員工在公司外的一切行為是否可能造成資安危機，例如LinkedIn上的資訊。因為有些駭客會依靠資料找出合作對象，並用同事的名字傳送訊息，因此Riot鼓勵員工使用雙重驗證，也建議他們調整LinkedIn隱私設定，降低攻擊的風險。

YC、歐舒丹、Mistral AI都在用，2月完成B輪募資

資安問題日益嚴峻，Riot的創新方法引來投資者的高度關注。創投Left Lane Capital合夥人Matthew Miller讚道：「Riot的創新方法將員工作為抵禦網路攻擊的第一道防線。資料洩露或網路攻擊的成本對公司有重大的財務和聲譽影響，這使得這些培訓和預防工具現在比以往任何時候都更有必要。」

2025年2月，Riot成功結束B輪募資，獲得3,000萬美元（約新台幣9.8億元），這筆資金將用於產品開發和國際擴張。這輪募資吸引了多位技術與創業領域的知名人士參與投資，例如Snyk創辦人Guy Podjarny、Duolingo共同創辦人Severin Hacker以及Slack產品長Tamar Yehoshua。據《TechCrunch》報導，Riot在B輪募資後的估值已超過1.7億美元（約新台幣55.9億元）。

截至目前為止，Riot的總募資金額達到4,500萬美元（約新台幣14億元），其中資金包括Y Combinator、A輪領投的Base10、FundersClub等知名創投機構，以及本次領投的Left Lane Capital。

值得注意的是，Y Combinator不只是投資人，也是客戶。Riot採用月付或是年繳的訂閱制商業模式，以員工數量計價。現在，已經有1,500多個組織成為Riot的服務對象，除了Y Combinator還有Mistral AI、Modern Treasury等科技公司，以及L'Occitane（歐舒丹）和法國媒體Le Monde等老牌企業。

網路防禦關鍵？Riot創辦人：換位思考

Riot目前的成功，歸功於Benjamin Netter上次創業的慘痛經驗。

他曾創立FinTech新創公司October，這家公司在歐洲市場快速成長，為企業提供貸款，每年放款金額超過1億歐元。然而，即便他身為技術長並投入大量資源保護平台安全，最終仍因員工點開了一封駭客的網路釣魚郵件，而讓公司損失慘重。

這次事件讓他意識到，單純強化系統防禦並不足夠，員工的安全意識才是最容易被忽略的漏洞。因此，他開始著手開發一個內部工具，透過模擬攻擊來提升員工對網路釣魚的辨識能力，這個工具後來發展成現在的Riot。

Benjamin Netter畢業於法國知名的軟體工程學校EPITECH，就學期間前往加拿大交換，專研AI。他認為網路防禦的關鍵在於「換位思考」，也就是從駭客的視角來審視公司的防禦措施。他強調，駭客的手法極具創造力，因此安全專家也必須具備同樣的創意思維，才能預測並防範可能的攻擊模式。

Benjamin Netter進一步透露，Riot的長期目標是建立完整的「員工安全生態系」，未來甚至可能開發防毒軟體或密碼管理工具，進一步擴展Riot在網路安全市場的影響力。他表示，「我們希望建立一個完整的員工安全堆疊，提供所有必要的工具。舉例來說，未來或許會推出防毒軟體或密碼管理器，進一步完善企業的安全策略。」

資料來源：《TechCrunch-1》、《TechCrunch-2》、《Verdict》、《EU-Startups》、《Security Intelligence》、《Tech Funding News》